FixRun (FixSecurity) - защита от шифровальщиков

FixRun (FixSecurity) - защита от шифровальщиков 3.0.0

Нет прав для скачивания
Обзор F.A.Q. Обновления (2) Отзывы (5) История Обсуждение
SNS-amigo написал(а):
В теме про Locky написано.
Нажмите для раскрытия...
Стало известно, что за последние несколько дней разработчики Locky / Zepto отказались от использования исполняемого файла для установки Locky / Zepto Ransomware и перешли к использованию DLL. Вероятно, это делается для дальнейшего запутывания и обхода блокаторов исполняемых файлов.

Locky при этом продолжает распространяться через JS-вложения, которые при выполнении загружают зашифрованную версию исполняемого файла. После того, как payload будет дешифрован в DLL-файл, он будет запущен с помощью следующей команды:
Нажмите для раскрытия...
JS-скрипты блокируются в FixSecurity.

Майк наверное имеет в виду, что в отличие от всех остальных форматов, DLL не исполняется по двойному клику, поэтому собственно защищать не от чего.
Нажмите для раскрытия...
И это тоже.
 
mike 1 написал(а):
JS-скрипты блокируются
Нажмите для раскрытия...
Пока что вначале вредонос Locky всё же использует скрипт, но далее система беззащитна, DLL внедряется в процесс и шифрование идёт по системе широким шагом. Антивирусы на это смотрят сквозь пальцы. Дэвам не составит труда изменить алгоритм поставки вредПО.
Также поставщиками шифровальщиков используются макросы и файлы OLE и OCX.
Сейчас функционала FixSecurity, можно сказать, достаточно, потому я и поставил оценку 5.
Но на продумывание дополнительного уйдет какое-то время. Готовиться надо уже сейчас.
 
Надо в инструкцию дописать что на время установки антивирус надо отключать,иначе программа иногда не может внести нужные изменения в систему.
 
После установки FR он нигде не наблюдается.
Это так должно быть?
 
SNS-amigo
Для удаления или переустановки можно запустить установщик повторно, он сам себя найдет:
in3.webp

Устанавливаются только значки и папки, в меню "Все программы" и "Программы и компоненты".
"Программы и компоненты" (значок оранжевого цвета):
in2.webp


"Все программы" (имя папки "Защита от шифровальщиков")
in1.webp

Kиpилл
Думаю антивирус может быть Касперский, помню видел в его политике программ батник, который используется при установке.
Попадает в слабые ограничения, потестирую, посмотрю содержимое батника, что именно блокируется.
На данный момент дорабатываю код для новой версии, чтобы изменения вносились через приложение на C#
 
Нет,доктор-корпоративная лицуха.
Программа просто не может установиться,пока доктора не прибьешь.
 
Vitokhv, буду разбираться, этот комп с XP, неактуально, хотел попробовать. Попробую на другом с более актуальной ОСью.

Блокируется не только Касперским, но и Нортон Секьюрити - FR как программа не имеющая многопользовательской репутации (по его меркам это больше 1000 человек), но т.к. этот детект невирусный и управляется на ручнике, т.е. пользователь сам выставляет режим доверия. Выставил. ОК.
 
После установки не могу время поменять на ПК, появляется окошко CMD.
 
Guest
Это из за расширения .cpl (timedate.cpl)
Время можно изменить через: "Панель управления" - "Дата и время"
Если мешает, при установке можно снимать галку с расширения .cpl (но это расширения может использоваться шифровальщиками)

SNS-amigo
Скоро будет приложение с чекбоксами и кнопкой.
 
Vitokhv, Дней 10 назад я запостил инфу про взятые на вооружение злоумышленниками файлы PUB, хотел сразу сообщить, но уехал, а потом забыл. Ознакомьтесь, может пригодиться.
 
SNS-amigo написал(а):
Vitokhv, Дней 10 назад я запостил инфу про взятые на вооружение злоумышленниками файлы PUB, хотел сразу сообщить, но уехал, а потом забыл. Ознакомьтесь, может пригодиться.
Нажмите для раскрытия...
Распространяемые электронные письма, ссылающиеся на известные китайские и британские бренды, содержат вложение в виде файла Microsoft Publisher. После его открытия (в письме рекомендуется использовать Microsoft Office Publisher) запускается скрипт VBScript
Нажмите для раскрытия...
VBS-скрипты блокируются утилитой.
 
SNS-amigo
самораспаковывающийся CAB-файл
Нажмите для раскрытия...
Думаю информация в цитате будет важнее, т.к. файл .pub является "документом" его не желательно блокировать, но там где есть угроза все равно можно сделать кнопку.
Расширения которые не должны блокироваться, добавлю, но их придется выбирать вручную в отдельном окне.

p.s. файл .pub не отличается от других документов .doc .docx .xls xlsx и др., так как использует VBA (он же AutoIt) в MS Office которое и приводит к выполнению скриптов (полное отключение VBA ни к чему хорошему не приведет, но все равно добавлю, в отключенном состоянии)
 
Код для .XLA похожий:
Код: 
Function СуммаПрописью(Рубли)
' Вызов функции для получения числа прописью
Число = CStr(Fix(Рубли))
МужскойРод = Истина
СуммаПрописью = ЧислоПрописью(Число, МужскойРод)
' Строку с заглавной буквы
СуммаПрописью = UCase(Mid(СуммаПрописью, 1, 1)) + _
                       Mid(СуммаПрописью, 2)
' Вычислить длину исходного числа
Длина = Len(Число)
' Если число только из одной цифры, добавить
' до двух (для единообразия алгоритма)
If Длина = 1 Then
    Число = "0" & Число
    Длина = Длина + 1
End If
' Добавление нужного окончания строки
'
' Для чисел, оканчивающихся на 10, 11, 12, 13,
' 14, 15, 16, 17, 18, 19 добавляем "рублей"
If Mid(Число, Длина - 1, 1) = 1 Then
    СуммаПрописью = СуммаПрописью + "рублей"
' Для всех остальных случаев
Else
    Select Case Mid(Число, Длина)
' Для чисел, оканчивающихся на 1 добавляем "рубль"
    Case 1
        СуммаПрописью = СуммаПрописью + "рубль"
' Для чисел, оканчивающихся на 2, 3, 4
' добавляем "рубля"
    Case 2, 3, 4
        СуммаПрописью = СуммаПрописью + "рубля"
' Для чисел, оканчивающихся на 5, 6, 7, 8,
' 9, 0 добавляем "рублей"
    Case Else
        СуммаПрописью = СуммаПрописью + "рублей"
    End Select
End If
' Считаем копейки
Переменная = (Рубли - Fix(Рубли)) * 100
If (Переменная - Fix(Переменная)) > 0.5 Then
    Переменная = Fix(Переменная) + 1
Else
    Переменная = Fix(Переменная)
End If
Копейки = CStr(Переменная)
' Окончательно формируем результат, добавляя копейки
If Len(Копейки) = 1 Then
    Копейки = "0" + Копейки
End If
СуммаПрописью = СуммаПрописью + " " + Копейки + " "
' Для чисел, оканчивающихся на 10, 11, 12, 13,
' 14, 15, 16, 17, 18, 19 добавляем "копеек"
If Mid(Копейки, 1, 1) = 1 Then
    СуммаПрописью = СуммаПрописью + "копеек"
' Для всех остальных случаев
Else
    Select Case Mid(Копейки, 2)
' Для чисел, оканчивающихся на 1 добавляем "копейка"
    Case 1
        СуммаПрописью = СуммаПрописью + "копейка"
' Для чисел, оканчивающихся на 2, 3, 4
' добавляем "копеек"
    Case 2, 3, 4
        СуммаПрописью = СуммаПрописью + "копейки"
' Для чисел, оканчивающихся на 5, 6, 7, 8,
' 9, 0 добавляем "копеек"
    Case Else
        СуммаПрописью = СуммаПрописью + "копеек"
    End Select
End If
End Function
 
VBA, VBS и VB6 ещё более похожий, но это разные языки.
Если из VBA ещё можно выполнить код VBS с использованием OLE, то код AutoIt - нет, без программы-интерпретатора.
 
Временные папки для SFX
Поправьте если ошибаюсь:
7z*.sfx или 7ZipSfx.* - для самораспаковывающихся архивов 7zip
screenshot_84.png

RarSfx* - для самораспаковывающихся архивов WinRAR
FTM* - для файлового менеджера FAR

Вроде это все более известные архиваторы с поддержкой SFX
 
Может уже будем постепенно внедрять утилиту от Vitokhv на форумах, где пользователи столкнулись с шифровальщиком? Точно так же, как мы сейчас используем утилиту от glax24. Кто нибудь возьмется написать шаблон?
 
mike 1
Осталось немного до доработки приложения, еще пару дней и бэта версия.
В ней уже будет возможность включать и отключать защиту, сразу, без переустановки.

Но как крайняя мера пусть используют, что есть.
 

Похожие темы

Oleksa
  • Закрыта
Решена FixRun (FixSecurity)
Ответы
7
Просмотры
2K
Oleksa
Oleksa
L
  • Вопрос Вопрос
Защита от вторжения по локальной сети
Ответы
1
Просмотры
156
Lunik
Lunik
H
  • Закрыта
Закрыто Защита от вирусов и Угроз сломалась?
2
Ответы
31
Просмотры
3K
Sandor
Sandor
Назад
Сверху Снизу